APT攻击的发现与防护方案的设计毕业论文
本科毕业论文(设计)
论文(设计)题目:
ATP攻击的发现与防护方案设计
学院:
专业:
班级:
学号:
姓名:
**年**月**日
贵州大学本科毕业论文(设计)
诚信责任书
本人郑重声明:本人所呈交的毕业论文(设计),是在导师的指导下独立进行研究所完成。毕业论文(设计)中凡引用他人已经发表或未发表的成果、数据、观点等,均已明确注明出处。
特此声明。
论文(设计)作者签名:
日期:
ATP攻击的发现与防护方案设计
摘要
APT即为高级持续性威胁,是近年来才出现的一种网络攻击手段,其特点是他的攻击的前期准备需要很长的时间,攻击的手段十分隐蔽, 变化多端、效果非常显著,不易被发现,APT攻击已经渐渐成为网络渗透和系统攻击的演进趋势。目前,国内外对 APT 攻击防护的研究尚处于初级阶段,防御方案是基于已知的知识和规则,基于信任,缺乏对未知威胁的感知能力,针对未知的感知能力非常薄弱,对抗点滞后,缺乏关联分析能力,并没有对 APT 攻击机理、产生背景等进行整体而细致的剖析。
为了有效的应对现今愈演愈烈的APT攻击,通过阅读大量的文献,和借鉴国内外的经验,从APT的规范定义及特征入手,对APT攻击产生的背景、攻击的原理及步骤进行了一个较为详尽的总结,在理解的基础上,利用两台Quidway S2008型号交换机和路由器 Quidway 2600型号的路由器还有若干台计算机,模拟内网和外网,利用搭建环境模拟几种典型的APT攻击,提出沙箱检测、异常检测、威胁检测、记忆检测等具体的方案来检测APT攻击。这些方案和传统的防护方案相比更加有效地检测 APT 网络攻击。通过检测来往的数据及信息是否含有APT特征,查询流量,分析日志,从而在APT还没发起攻击前发现APT攻击。并针对APT攻击提出了具体的防范方案
关键词:APT 攻击,检测方案,防范策略
ATP attackandprotection scheme design
Abstract
APT is the advanced persistent threat, which is a kind of network attack occurred in recent years, its characteristic is that preparing his attack requires a long period of time, the attack is very subtle and the most changeful, the effect is very significant, not easy to be found APT attacks have gradually become the evolution trend of network penetration and system attack. At present, the domestic and foreign research on APT attack protection is still in the primary stage, the defense scheme is based on knowledge and rules, trust and the lack of an unknown threat perception, for the weak unknown perception ability, against lag, the lack of correlation analysis capability, instead of analyzing the background of APT attack mechanism overall anddetailed .
In order to effectively respond to the growing APT attack, by reading a lot of literature, and drawing lessons from domestic and international experience, from the APT standard definition and characteristic, conducted a more detailed summary on APT attacks generated background, principles and procedures of attacks。On the basis of understanding, using two Quidway S2008 types of switches and routers Quidway 2600 router models and some computer to simulate internal network and external network, and using building environment to simulate several typical APT attack, propose specific programs including the scheme sandbox detection, anomaly detection, threat detection, memory tests to detect APT attacks. These programs more effectively detect APT attacks compared with traditional protection schemes. By detecting whether the data and information contains APT features, querying flow, analysing log to find the APT attack before the APT attacks and proposed the specific prevention program for APT attack
Key:APT attack , detection scheme, prevention strategies
目录
摘要 .................................................................... II Abstract ............................................................... III 第一章概述 (1)
1.1 目的与意义 (1)
1.3现状及发展趋势 (1)
1.3 主要设计内容 (3)
第二章相关的基础知识 (4)
2.1 ATP的概念 (4)
2.2 APT攻击的原理 (4)
2.3 APT的危害 (5)
第三章 APT攻击的发现 (6)
3.1 ATP攻击的途径 (6)
3.2 ATP攻击的过程剖析 (6)
3.3 ATP的检测 (8)
3.3.1沙箱方案 (9)
3.3.2 异常检测模式 (10)
3.3.3 威胁检测技术 (11)
3.3.4 基于记忆的检测 (13)
第四章 APT防护方案设计 (15)
4.1 网络拓扑图 (15)
4.2 存在的威胁 (15)
4.3 内网的安全的防护 (16)
4.4 应用程序的安全的防护 (17)
4.5 服务器安全的防护 (18)
4.6 漏洞的防护 (18)
4.7 社会工程学 (20)
4.8 针对SQL注入的防护 (21)
4.9 防护方案后的拓扑图 (23)
第五章 ATP攻防实验 (25)
5.1 实验平台的搭建 (25)
5.1.1 平台拓扑图 (25)
5.1.2 web的搭建 (25)
5.1.3 FTP服务器的搭建 (29)
5.2 弱密码攻击 (33)
5.2.1 攻击 (33)
5.2.3 防护 (38)
5.2.3. 测试 (44)
5.3 操作系统IPC$ 漏洞攻击 (46)
5.3.1 攻击 (46)
5.3.2 防护 (51)
5.3.3 测试 (55)
5.4 SQL注入攻击 (57)
第六章总结 (65)
6.1 总结 (65)
6.2 展望 (65)
参考文献 (67)
致谢 (68)
第一章概述
1.1 目的与意义
近年来,随着信息技术的高速发展,信息化技术在给人们带来种种物质和文化生活享受的同时,各种安全问题也随之而来,诸如网络的数据窃贼、黑客对主机的侵袭从而导致系统内部的泄密者。尽管我们正在广泛地使用各种复杂的软件技术,如防火墙、代理服务器、侵袭探测器、通道控制机制等,但是,无论在发达国家,还是在发展中国家,黑客活动越来越猖狂,他们无孔不入,对社会造成了严重的危害,如何消除安全隐患,确保网络信息的安全,尤其是网络上重要的数据的安全,已成为当今世界越来越关心的话题。近年来,APT 高级持续性威胁便成为信息安全圈子人人皆知的"时髦名词"[1]。APT变化多端、效果显著且难于防范,因此,渐渐成为网络渗透和系统攻击的演进趋势。所以要设计一套能有效防护APT攻击的方案显得及其重要。设计的目的主要是从APT 的规范定义及特征入手,对攻击发起的背景、步骤等进行较详尽的描述, 在分析APT攻击的一般过程基础上,针对攻击不同阶段,从技术措施和防护方法等方面给出具体的建议,并给出具体、完善的检测、响应和防范APT攻击的可行性方案。
1.3现状及发展趋势
从震网到火焰各种的攻击,到媒体关的关注,全都认可一件事情,那就APT 攻击是防不住。国内防不住,国外其实也防不住[2]。目前仍有很多人对APT
这个名词感到陌生,APT到底是什么,关于APT的定义非常混乱,APT攻击并不是具体限定于某一种唯一的方法和步骤,他攻击的手段多种多样,广泛的用到了社会工程学的手段。
目前国内外对APT(高级持续威胁)攻击行动的组成要素、主要任务、重要活动以及交互关系等问题已有清晰的认识 ,可是对APT攻击的研究主要还是由
安全厂商进行,其侧重点在于通过安全事件、威胁的分析导出企业的安全理念, 以网络安全企业的宣传、分析资料为主,忽视了对APT攻击机理、产生背景等进行整体而细致的剖析。所以关注点较为分散,不成体系,无法对 APT 攻击形成较为全面的认知和理解。缺乏统一的形式化描述,不能全面系统地表达APT 攻击的全过程。外对APT攻击的检测主要还都处于探索状态。大致主要分为两种方式:静态检测方式和动态检测方式[3]。
在国外先进国家研究APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的 High Level 网络作战原则中,明确指出针对 APT 攻击行为的检测与防御是整个风险管理链条中至关重要也是基础的组成部分,西方先进国家已将APT防御议题提升到国家安全层级,这绝不仅仅造成数据泄露。根据许多APT行为特征的蠕虫病毒分析报告来看,我国信息化建设和重要信息系统也可能受到来自某些国家和组织实施的前所未有的 APT 安全威胁,然而我国当前面向重要网络信息系统的专业防护服务能力和产业化程度相对较低,尚难以有效应对高级持续性威胁攻击,形势相当严峻,另一方面,由于APT攻击的高度复合性和复杂性,目前尚缺乏对 APT 成因和检测的完善方法的研究。随着我国3G网络的推广普及,移动终端的市场在不断扩大,APT攻击也在关注移动互联网终端,这也是ATP攻击的一个发展趋势。APT攻击时代的来临预示着定向攻击将成为恶意软件发展的新趋势[4]。
APT攻击是一个在时间上具备连续性的行为,在以后信息技术快速的发展中,APT攻击将会变得越来越复杂,这并不仅仅表示攻击技术越来越强大,也意味着部署攻击的方式越来越灵活。以后,这类攻击将会具备更大的破坏能力,使得我们更难进行属性分析。
(1)攻击将会更有针对性:越来越多的APT攻击将会针对特定的地区、特定的用户群体进行攻击。在此类攻击中,除非目标在语言设定、网段等条件上符合一定的标准,否则恶意软件不会运行。因此,我们将会看到越来越多的本地化攻击。
(2)APT攻击将更有破坏性:在以后,APT攻击将带有更多的破坏性质,无论这是它的主要目的,或是作为清理攻击者总计的手段,都很有可能成为时间性攻击的一部分,被运用在明确的目标上。
(3)对攻击的判断将越来越困难:在APT攻击防范中,我们通常用简单的技术指标来判断攻击的动机和地理位置。但是到了以后,我们将需要综合社会、政治、经济、技术等多重指标进行判断,以充分评估和分析目标攻击。但是,多重指标很容易导致判断出现失误,而且,攻击者还可能利用伪造技术指标来将怀疑对象转嫁到别人身上,大大提升了判断的难度。
1.3 主要设计内容
运用已学过的信息安全原理与技术、现代密码学、计算机网络和网络攻防等专业知识,对高级持续性威胁(Advanced Persistent Threat,APT)产生的背景、攻击方法与原理进行分析,发现其攻击规律,提出检测方法,搭建一个简单、实用的APT攻击防护平台,设计出一套完整的防范APT攻击的解决方案,并通过自己搭建的实验平台对该方案的可行性进行验证。
第二章相关的基础知识
2.1ATP的概念
APT攻击是一种非常有目标的攻击。APT攻击和其他的网络攻击相比,他们有着本质的区别,病毒拥有3个基本属性,APT攻击在拥有那些基本属性的同时,也拥有了属于自己特有的属性。从技术的角度来说,APT是一种不同性质的攻击,从某些程来说,APT攻击是必然的,也是最近出现的一种新的篇章,这个新的篇章和过去的网络攻击不一样,其主要表现为APT的采点是很漫长的,需要一段很长的时间,APT运用的攻击手段很隐蔽,因此很多网络安全维护人员不会轻易的发现这种攻击,因为他们所运用的攻击手段都是看起来正常的,进攻漫长的信息采集过程,最终确定攻击的目标,当攻击的目标被确定后,这个目标一定是有比较高的价值,因为APT前期的攻击准备的成本比起一般的网络攻击要高很多,APT不是一种单一的攻击手段,而是多种攻击手段的组合,它是由一个团体所组成,因此无法通过单一的防护手段进行阻止和防御,APT 攻击目前已成为热点,其特征不同于传统的网络攻击,对已有的安全防范思路和能力,带来极大挑战。应对新的威胁,需要有新的思路。
2.2 APT攻击的原理
APT攻击的原理和其他网络攻击的区别主要在于他攻击形式更为高级和先进,其高级性体现在APT在发动攻击之前,需要对攻击目标信息进行精确的收集,在此收集的过程中,有可能结合当前IT行业所有可用的攻击入侵手段和技术,他们不会采取单一的攻击手段,病毒传播、SQL 注入等。因为单一的攻击手段容易被发现,很难达到APT攻击所想要的结果,所以通常会使用自己设计、具有极强针对性和破坏性的恶意程序[5],主动挖掘被攻击对象受信系统和应用程序的漏洞,对目标系统实施毁灭性的打击,APT攻击的方式可以根据实际情况进行动态的调整,从整体上掌控攻击进程,APT攻击还具备快速编写所需渗透代码的能力。与传统攻击手段和入侵方式相比,APT 攻击体现的技术性更强,过程也更为复杂,他的攻击行为没有采取任何可能触发警报或者引起怀疑的行
动,所以更接近于融入被攻击者的系统或程序。
2.3APT的危害
如下图2.1所示一系列的APT攻击事件震惊业界,APT攻击的出现,对全球的信息安全的防护是一个极大的挑战,因为APT攻击的目标通常会是一个国家的安全设施,例如:航空航天,或者是重要的金融系统。APT攻击在没有挖掘到目标的有用信息之前,它可以悄悄潜伏在被攻击的目标的主机中。传统安全事故经常是可见的、危害即刻发生,造成的威胁很小;可是APT攻击则是不可见,危害在幕后发生,因为APT攻击具有很强的隐蔽性,所以悄然间便可窃取被攻击目标的核心数据,当一个企业或一个国家知道被攻击成功时,则造成的危害已经不可挽回,他的破坏力是非常强的,在国与国之间没有真正较量没有发生之前时发作,一旦发作也许会导致系统不运行,包括金融系统,攻击的目标大多数是针对国家的要害部门,所以它的危害是非常严重,威胁到国家的信息安全。
图2.1 近年发生的APT事件
第三章 APT攻击的发现
3.1ATP攻击的途径
APT入侵客户的途径多种多样,主要包括:
(1)以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。
(2)社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客一开始,就是针对某些特定员工发送的钓鱼邮件,以此作为使用APT手法进行攻击的所有源头。
(3)利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息
(4)很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。所以通过对目标公网网站的SQL注入方式实现APT攻击。
(5)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据。通过对数据进行压缩、加密的方式导致现有绝大部分基于特征库匹配的检测系统失效,实现数据的传输
总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案如防病毒软件、防火墙、IPS等),并更长时间的潜伏在系统中,让传统防御体系难以侦测[6]。
3.2 ATP攻击的过程剖析
攻击的流程图如图3.1所示
图3.1 APT攻击流程图
第一阶段:情报收集。攻击者对锁定的目标和资源采用针对性APT攻击,使用技术和社会工程学手段针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息,收集大量关于系统业务流程和使用情况等关键信息,通过网络流量、软件版本、开放端口、员工资料、管理策略等因素的整理和分析[7],得出系统可能存在的安全弱点。另外,攻击者在探测期中也需要收集各类零日漏洞、编制木马程序、制订攻击计划等,用于在下一阶段实施精确攻击,当攻击者收集到足够的信息时,就会对目标网络发起攻击。
第二阶段:进入点。采用诱骗手段将正常网址请求重定向至恶意站点,发送垃圾电子邮件并捆绑染毒附件,以远程协助为名在后台运行恶意程序,或者直接向目标网站进行 SQL 注入攻击等。尽管攻击手段各不相同,但绝大部分目的是尽量在避免用户觉察的条件下取得服务器、网络设备的控制权第三阶段:命令与控制(C&C 通信)。攻击者成功入侵目标网络后,通常并不急于获取敏感信息和数据,而是在隐藏自身的前提下找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通信,并确认入侵成功的计算机和C&C服务器间保持通信[]。开始寻找实施进一步行动的最佳时机。当接收到特定指令,或者检测到环境参数满足一定条件时,恶意程序开始执行预期的动作。
第四阶段:横向扩展。在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松地访问和控制关键目标。
第五阶段:资料发掘。为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调地潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据作分析,以做最大化利用。
第六阶段:资料窃取。APT是一种高级的、狡猾的伎俩,利用APT入
侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。为了避免受害者推断出攻击的来源,APT 代码需要对其在目标网络中存留的痕迹进行销毁,这个过程可以称之为 APT 的退出。APT 根据入侵之前采集的系统信息,将滞留过的主机进行状态还原,并恢复网络配置参数,清除系统日志数据,使事后电子取证分析和责任认定难以进行。
3.3 ATP的检测
APT攻击是近几年来出现的一种高级网络攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御apt方面效果已经变得很不理想了。所以要检测出APT攻击已成为许多企业所面临的难题,因为APT种攻击是以“隐形模式”进行的。对于传统的攻击行为,安全专家仅需关注恶意程序的样本提取并做分析,便可以掌握攻击者的动机及传播渠道,可是对于APT攻击以点概面的安全检测手段已显得不合时宜,所以要想在APT攻击还没发生之前,事先检测到APT攻击是很困难的,面对APT 攻击威胁,我们应当有一套更完善更主动更智能的安全防御方案,必须承认APT 攻击的发起者有着超群的智慧和丰富的经验,因此检测APT攻击就必须密切关注攻击者所释放的恶意代码的每一个细节。并且该方案能够识别和分析服务器和客户端的微妙变化和异常。无论攻击者的实施的计划多么缜密,还是会留下点攻击过程中的痕迹,通常就是我们所说的刑事调查中的痕迹证据,这种证据
并不明显,甚至可能是肉眼看不见的。
APT攻击者为了发动攻击肯定会在系统的某处留下一些模糊的踪迹,然而这些踪迹在我们平时看来是正常的一些网络行为,所以这就导致了我们很难检测到APT攻击。可是安全人员可以快速定位攻击源头,并做出对应的安全防御策略,但是这些却无法准确提取APT攻击属性与特征。
我们现在对抗 APT 的思路是以时间对抗时间。因为APT是在很长时间内才发生,也许一年,两年,甚至五年,才可能发生,所以我们要在一段时间内发现APT,还是很有难度的,需要对长时间、全流量数据进行深度分析,针对APT 攻击行为的检测,需要构建一个多维度的安全模型,还可以通过手动检查文件来识别一些微小的不易发现的标记,并将这些标记作为潜在恶意活动的指示。通常APT攻击会采用一些恶意程序文件名与常见Windows文件类似,让我们很难发现。可是只要我们留心观察,是可以识别文件名的细微区别的,例如使用大写I代替小写L。根据整个apt攻击过程,围绕APT的攻击步骤提出具体的检测方案。检测的整个具体流程图如下图3.2所示,一共分成五大模块,沙箱检测,异常检测,威胁检测,记忆检测还有响应。
图3.2 检测的整体流程图
3.3.1沙箱方案
该方案在一定程度上可以有效检测 APT 攻击,对攻击方式进行非特征匹配。攻击者与防护者的信息不对称,因为APT攻击具有极强的隐蔽性,所以要
想发现APT攻击如同大海捞针。该智能沙箱法案,通过对可能存在的异常行为进行技术性识别,检测出存在高级威胁的问题。并且沙箱检测与整个网络运行环境相关,操作系统的类型、浏览器的版本、安装的插件版本等都对沙箱检测的结果起着影响。因而导致沙箱检测在这种情形下检测不出来恶意代码,但是在另外一种情形下可能检测出来
3.3.2 异常检测模式
检测流程图如下图3.3所示:
图3.3 异常检测流程图
APT攻击常使用端口跳变、应用层加密等手段隐藏恶意流量特征,只有通过一系列的数据聚类才能发现异常,异常检测是利用预先设定好特征库或规则库和用户通过从账号登录的IP地址、时间、行为操作序列等特征的统计可得到该账号的正常行为产生的数据量建立一个有效的模型。该模型通过匹配已知异常特征相的模式来检测异常。
该方案提出了在多种查询条件下对流量数据进行可视化分析,例如目的 IP
地址流量统计排序、目的端口流量统计排序等;并对对重要文件的操作及对应的发生时间进行审计。该方案的设计思维就好比现实生活中警察抓坏人的思维方式,在没有明确坏人的基本特征的情况下,那就对好人进行行为模式的建构,当一个人的行为模式偏离好人的正常范围,那么这个人就有可能是坏人,然后再对这个有可能是坏人的人进行具体的检测。该方案主要注重的是对元数据的提取,以此对整个网络流量的基本情况进行检测,从而发现异常行为。通过对该主机流量进行特征抽取,与其正常的流量模型比较,从而得到流量异常情况的概率值。对于被识别为“异常”概率值大的流量信息,将被推送到安全审计人员作进一步分析[17]。对于员工账号访问审计,并进一步用于员工账号访问异常检测。对于异常告警,安全审计人员需及时确认原因;并对未能确认原因的异常告警信息,尤其是异常流量警告信息,并及时联系安全技术支持人员进行近一步分析这种异常,从而发现APT攻击,但是该检测的缺点是不能检测未知的异常,同时随着异常种类越来越来多,导致特征库越来越庞大,从而监测性能也随之下降。
3.3.3 威胁检测技术
检测的流程图如下图3.4所示:
图3.4 威胁检测流程图
该方案提供了一个统一的接口,可以在不同位置把相关的日志信息上传,例如已发现的病毒或者木马,可疑的网络访问行为,异常的网络流量等。在该模块产生日志分析的基础上,根据一些经验规则或者自定义的规则,主动的发现可能发生的安全威胁虚拟分析技术。传统的检测方案对某些附件或则可执行文件对系统可能造成的影响没有一个准确的分析,往往会把一些文件隔离起来或者直接放过[20]。如果该文件是一个正常文件,隔离后,用户需要额外的操作才能得到该文件;如果该文件是一个恶意文件,放过的话,就会对会对用户的系统造成影响。因此,无论隔离还是放过,都会对用户造成困扰。用户通常不具备足够的知识来判断文件是否是恶意的。所以该方案是将文件放在沙盒中执行,检测该文件对系统的所有更改是否是有害的,如果对该系统没有造成影响,就允许通过,如果有影响,或则会危害到系统的秘密信息,就该文件拦截。一份统一的威胁名单:根据威胁检测技术和虚拟分析技术的结果,模拟APT攻击,可以产生一个可疑的威胁名单或则一份APT攻击记录报表,并将其可以名单和记录的APT攻击报表及时的地反馈给安全人员报表系统:该系统根据不同的目的,提供不同的报表供 IT 安全管理人员查看。拦截病毒数量、本地病毒
库的更新状态、已发现的潜在威胁、病毒来源,或已知的攻击等都属于。通过进行人工整合的工作,对不同的情况采取不同的措施。
3.3.4 基于记忆的检测
检测的流程图如下图3.5所示:
图3.5 记忆检测流程图
在检测中APT 攻击过程中,APT攻击遗留下来的暴露点包括攻击过程中的攻击路径和时序,APT 攻击一般不会对系统的安全防御系统进行暴力破解,攻击过程的大部分貌似正常操作;不是所有的异常操作都能立即被检测;被检测到的异常也许是在APT攻击过后才检测到,因为APT具有很强的隐蔽性。基于记忆的检测可以有效缓解上述问题。基于记忆的检测系统,是由全流量审计与日志审计相结合形成的,它对抗 APT 的关键方法就是以时间对抗时间[10]。APT 攻击发生的时间很长,对APT攻击的检测是建立一个有效的时间窗,所以可以对长时间内的数据流量进行更为深入、细致的分析。全流量审计组要
是对全过程流量施以应用上的识别与还原,从而检测出异常的可能会对系统造成危害的行为。该记忆的检测方案主要分成如下几个步骤:
(1)扩大检测范围
该方案对数据流量的检测领域进行拓展,并将全流量数据进行有效的存储,对存储的流量数据会进行深入分析。该方案采取扩大检测领域不但提高发现可疑行为的概率。还可以在发现异常情况后,利用原先的全流量的存储,将异常行为返回到与之相关的时间点。还可以为已经发生的,但在分析时没有受到安全管理员的重视,偶尔会出现可疑情况的数据流量进行关联性的技术分析,从而实现有效识别。往往这些不受重视的报警常常是攻击者掩藏蓄谋已久的攻击意图的好地方
(2)浓缩数据量
对输入的数据量进行压缩,在全流量中的数据进行筛选,将有用的信息删选出来,并将与攻击不相关联的数据及时删除,并保留与APT攻击有关的数据流量,将其有用数据弄成一个集合,压缩对数据量,从而为检测系统腾出更大的空间。依靠数据流量的异常检测模块,筛选、删除一些无用的数据流量,从而进一步提高检测的性能
(3)报警
将原先保存下来的与APT攻击行为有关的数据进行一个后续的详细分析,制定相关的匹配规则。分析人员与分析仪器相互配合,利用多维数据进行可视化分析,对可疑会话做好定位,利用细粒度解析与应用还原数据,有效识别出异常的行为,如果有异常,报警模块及时做出精确报警。从而识别出攻击者将攻击行为包装成成正常行为的行为。
(4)模拟攻击
安全管理员将识别出的报警数据进行关联性分析,明确这些报警数据与APT攻击之间存在的语义关系,并将孤立的攻击报警从海量的报警中提取出来,根据关联特征组建攻击场景相关的知识库,对识别出的报警与之相匹配、对照,构建 APT攻击,如果构建成功,则APT攻击被发现,并将其记录。接下来就是做出进一步的防护